TCP 之抓包分析

首先，要对tcp通信有一定的了解，如何分析包seq，ack等。
不会的点这里

抓包出现 spurious retransmission

指实际上并没有超时，但看起来超时了，导致虚假超时重传的原因有很多种：

原因

（1）对于部分移动网络，当网络发生切换时会导致网络延时突增
（2）当网络的可用带宽突然变小时，网络rtt会出现突增的情况，这会导致虚假超时重传
（3）网络丢包（原始和重传的包都有可能丢包）会导致虚假重传超时。

tcp虚假重传分析(摘自网络)

分析

当Client端收到Server的SYN+ACK应答后，其状态变为ESTABLISHED，并发送ACK包给Server；
如果此时ACK在网络中丢失，那么Server端该TCP连接的状态为SYN_RECV，并且依次等待3秒、6秒、12秒后重新发送SYN+ACK包，以便Client重新发送ACK包，以便Client重新发送ACK包。
Server重发SYN+ACK包的次数，可以通过设置/proc/sys/net/ipv4/tcp_synack_retries修改，默认值为5。
如果重发指定次数后，仍然未收到ACK应答，那么一段时间后，Server自动关闭这个连接。
但是Client认为这个连接已经建立，如果Client端向Server写数据，Server端将以RST包响应，方能感知到Server的错误。

抓包结果

其他原因：
与网卡驱动能力有关，业务功能bug导致发出的包有细微差异，wireshark没有很直观地展现

WireShark出现的常见提示

TCP Out_of_Order的原因分析

一般来说是网络拥塞，导致顺序包抵达时间不同，延时太长，或者包丢失，需要重新组合数据单元，因为他们可能是由不同的路径到达你的电脑上面。

TCP Retransmission原因分析

很明显是上面的超时引发的数据重传

TCP dup ack XXX#X原因分析

就是重复应答#前的表示报文到哪个序号丢失，#后面的是表示第几次丢失

TCP previous segment not captured原因分析

意思就是报文没有捕捉到，出现报文的丢失

下面就详细的报文进行分析

示例
点击进去，看最下面的异常情况分析即可。

报文分析时遇到的英文缩写
SLE: Sequence Left Edge of already acknowledged data when Selective Acknowledgments are used. 即已收到tcp数据的左边界。
SRE: Sequence Right Edge of already acknowledged data when Selective Acknowledgments are used. 即已收到tcp数据的右边界。

本文来自：
https://www.cnblogs.com/stupidbug/articles/8144236.html
https://blog.csdn.net/huaishu/article/details/93739446
https://blog.csdn.net/chenfengdejuanlian/article/details/53761004
https://blog.csdn.net/season_hangzhou/article/details/48318599